كشف باحثون في الأمن السيبراني عن حملة خبيثة تستهدف مستخدمي أجهزة أندرويد في أمريكا الشمالية باستخدام برنامج “Anatsa” المصرفي، والذي جرى توزيعه عبر تطبيقات ضارة نُشرت في متجر Google Play الرسمي. الحملة اعتمدت على تطبيق مزيف يحمل اسم “تحديث PDF”، متخفيًا كتحديث لتطبيق عرض المستندات، إلا أنه عند محاولة المستخدمين الوصول إلى تطبيقاتهم المصرفية، يُظهر لهم شاشة احتيالية تدعي أن الخدمة متوقفة مؤقتًا للصيانة.
ثالث محاولة معروفة لبرمجية Anatsa لاستهداف عملاء البنوك في الولايات المتحدة وكندا
ووفقًا لتقرير صادر عن شركة ThreatFabric الهولندية، تُعد هذه الحملة ثالث محاولة معروفة لبرمجية Anatsa لاستهداف عملاء البنوك في الولايات المتحدة وكندا. وتم توزيع البرنامج الخبيث هذه المرة كما في الحملات السابقة عبر تطبيقات تبدو مشروعة داخل متجر Google Play.
Anatsa، المعروف أيضًا بأسماء مثل TeaBot وToddler، ينشط منذ عام 2020، ويصل إلى أجهزة الضحايا عادة من خلال تطبيقات تُعرف باسم “droppers”، أي التطبيقات التي تُطلق مبدئيًا بوظائف عادية ثم تتحول لاحقًا إلى أدوات لنشر البرمجيات الخبيثة.
استهدفت Anatsa مستخدمي أندرويد في دول أوروبا الشرقية عبر تطبيقات متنكرة
في حملات سابقة، استهدفت Anatsa مستخدمي أندرويد في دول أوروبا الشرقية عبر تطبيقات متنكرة كبرامج قراءة PDF أو تنظيف الهاتف، حيث تُنشر التطبيقات بدايةً دون أي كود ضار، ليُضاف الكود الخبيث بعد أسبوع تقريبًا من الإطلاق.
وتتميّز Anatsa، على غرار غيرها من برمجيات أندرويد المصرفية، بقدرتها على تنفيذ هجمات من نوع “التراكب” (Overlay) وتسجيل نقرات المفاتيح لسرقة بيانات الدخول، إضافة إلى تنفيذ عمليات احتيال عبر الاستيلاء الكامل على الجهاز (DTO)، ما يسمح بإجراء معاملات مالية احتيالية من جهاز الضحية مباشرة.
بحسب ThreatFabric، تتبع هذه الحملات نمطًا متكررًا ومحكمًا، حيث يقوم المهاجمون بإنشاء ملف مطور في متجر التطبيقات، ثم نشر تطبيق حقيقي وفعّال، وبعد الوصول إلى قاعدة مستخدمين كبيرة، يتم دفع تحديث جديد يحتوي على كود خبيث يُنزل برنامج Anatsa على الجهاز كتطبيق منفصل.
بعد التثبيت، يتصل التطبيق بخادم خارجي للحصول على قائمة ديناميكية بأسماء التطبيقات المصرفية المستهدفة، ليبدأ بعدها في سرقة بيانات اعتماد المستخدم أو تسجيل ضغطات المفاتيح أو تنفيذ المعاملات الاحتيالية بشكل تلقائي.
من أهم العوامل التي تسمح لـ Anatsa بتفادي الكشف هي الطبيعة الدورية للحملة، حيث تتخلل فترات النشاط فترات من الصمت الكامل، ما يصعّب عملية التتبع والرصد.
التطبيق الجديد الذي استهدف المستخدمين في أمريكا الشمالية تنكّر كتطبيق لعرض المستندات وتم نشره بواسطة مطور باسم “Hybrid Cars Simulator, Drift & Racing”. وقد تم حذف كل من التطبيق وحساب المطور من متجر Google Play.
التطبيق تحوّل إلى برنامج خبيث بعد نحو ستة أسابيع من إطلاقه
تشير بيانات من منصة Sensor Tower إلى أن التطبيق أُطلق في 7 مايو 2025، ووصل إلى المركز الرابع ضمن فئة “أفضل الأدوات المجانية” بتاريخ 29 يونيو، بعدد تنزيلات يقدر بـ 90,000 عملية تحميل.
وذكرت ThreatFabric أن التطبيق سار على نهج Anatsa المعتاد، إذ بدأ كتطبيق عادي، ثم تحوّل إلى برنامج خبيث بعد نحو ستة أسابيع من إطلاقه. وقد استمرت نافذة التوزيع من 24 إلى 30 يونيو فقط، لكنها كانت كافية لإحداث أثر واسع.
أظهر التحليل أن نسخة Anatsa الأخيرة تم إعدادها لاستهداف مجموعة أوسع من التطبيقات المصرفية في الولايات المتحدة، في انعكاس لاتساع تركيز البرمجية على المؤسسات المالية في المنطقة. كما أدمجت البرمجية ميزة خداعية أخرى، وهي عرض إشعار صيانة مزيف عند محاولة المستخدم فتح تطبيقه البنكي، ما يُخفي الأنشطة الضارة ويمنع التواصل مع الدعم الفني للبنك، مما يؤخر اكتشاف الاحتيال المالي.
